بياناتك لا تغادر بنيتك التحتية أبدًا.

تتبع سكاليان خارطة طريق منظمة للامتثال والشهادات في 3 مراحل.

1. المرحلة الحالية (التشغيلية): الامتثال للائحة RGPD وقانون 25 الكيبيكي وHIPAA (وضع طبي قابل للتفعيل) وOSFI (وضع مالي قابل للتفعيل). هذه الامتثالات معمارية، مدمجة في تصميم النظام من البداية.
2. المرحلة الجارية (H1 2026): الاستعداد لشهادة SOC 2 النوع I، تشمل تدقيق الأمان التنظيمي وضوابط الوصول وإدارة الحوادث.
3. المرحلة المخططة (H2 2026): ISO 27001، نظام إدارة أمن المعلومات.

للعملاء الذين لديهم متطلبات شهادة محددة اليوم، يمكن لسكاليان توفير: تقرير اختبار اختراق من طرف ثالث (متاح عند الطلب تحت NDA)، ووثائق معمارية للأمان، واستبيان أمني مكتمل (بتنسيق SIG أو CAIQ أو مخصص).

يُضمن الامتثال للائحة RGPD وقانون 25 على 5 مستويات في سكاليان.

1. توطين البيانات: خيار المعالجة حصريًا على خوادم فيزيائية في كندا أو بلدك المحدد. لا عبور إلى الولايات المتحدة أو دول أخرى غير ملائمة دون اتفاق صريح.
2. اكتشاف وإخفاء هوية PII التلقائي: 15 فئة من البيانات الشخصية (الأسماء والبريد الإلكتروني والهواتف وأرقام التأمين وتواريخ الميلاد والبيانات الطبية والمالية وغيرها) تُكتشف وتُخفى قبل أي معالجة LLM. شركتك هي المتحكم في البيانات؛ سكاليان تعمل كمعالج.
3. حقوق أصحاب البيانات: توفر سكاليان أدوات لتلبية طلبات الوصول والتصحيح والحذف (الحق في النسيان) والنقل. يمكن للفرد طلب حذف جميع بياناته في غضون 72 ساعة.
4. سجل المعالجة: تولّد سكاليان تلقائيًا سجل معالجة متوافق مع RGPD لمؤسستك، يشمل الأغراض وفئات البيانات والمعالجين الفرعيين.
5. DPA (اتفاقية معالجة البيانات): تُوقَّع مع كل عميل، وتُفصّل التزامات سكاليان بوصفها معالجًا للبيانات.

عند طرح سؤال على سكاليان، يحدث استنتاج LLM: حساب معلوماتي يولّد الرد. استضافة GPU ذات السيادة تعني أن هذا الحساب يجري على وحدات معالجة رسومية (GPU) فيزيائية في بلدك، مشغَّلة من قِبل كيان خاضع للقوانين المحلية.

بدون سيادة GPU، حتى لو كانت بياناتك مخزنة في كندا، كثيرًا ما يُفوَّض حساب LLM إلى موفرين أمريكيين (AWS وGoogle Cloud وAzure وOpenAI) خاضعين لـCloud Act الأمريكي لعام 2018، الذي يُلزم هذه الشركات بتوفير البيانات للسلطات الأمريكية عند الطلب.

القطاعات التي يجب أن تستخدم GPU السيادي:

• القطاعات الخاضعة لـHIPAA (العيادات الطبية والمستشفيات)
• القطاعات الخاضعة لـOSFI (البنوك والتأمين)
• المنظمات الخاضعة للوائح حكومية بشأن حماية بيانات المواطنين
• المهن ذات السرية المهنية الصارمة (المحامون والموثقون)

GPU السيادي متاح على خطتي Pro والمؤسسات. مع خطط Starter التي تستخدم LLM سحابيًا، تعبر المقتطفات المجهولة ذات الصلة فقط، وليس المستند كاملًا. للقطاعات المذكورة، نوصي دائمًا باستخدام GPU السيادي.

تطبّق سكاليان تشفيرًا شاملًا في مرحلتين.

1. أثناء النقل (البيانات المتحركة): جميع الاتصالات بين متصفحك/تطبيقك وخوادم سكاليان تستخدم TLS 1.3 (أحدث إصدار وأأمنه). الاتصالات بين الخوادم الداخلية تستخدم mTLS (TLS المتبادل مع مصادقة الطرفين). لا يُسمح بأي اتصال HTTP غير مشفر في البنية التحتية.
2. في حالة السكون (البيانات المخزنة): جميع الملفات (المستندات وقاعدة المتجهات والسجلات) مشفرة بـAES-256 (المعيار الصناعي للبيانات الحساسة). تُدار مفاتيح التشفير بنظام KMS مع تدوير تلقائي كل 90 يومًا. لعملاء المؤسسات، يمكن نقل إدارة المفاتيح للعميل (BYOK: أحضر مفتاحك الخاص)، مما يعني أن سكاليان لا تستطيع تقنيًا الوصول إلى بياناتك حتى في حالة طلب خارجي.

النسخ الاحتياطية مشفرة أيضًا ومخزنة في منطقة منفصلة. مدة الاحتفاظ بالبيانات بعد إنهاء الاشتراك: 30 يومًا افتراضيًا (قابلة للتهيئة من 7 إلى 90 يومًا)، ثم حذف دائم معتمد.

تمتلك سكاليان خطة استجابة للحوادث موثقة من 5 مراحل.

1. الكشف: مراقبة مستمرة للبنية التحتية على مدار الساعة مع تنبيهات تلقائية على السلوكيات الشاذة (وصول غير اعتيادي، أحجام طلبات غير طبيعية، محاولات اختراق). تُطلق الأحداث الشاذة تنبيهًا لفريق الأمان في أقل من 5 دقائق.
2. الاحتواء: عزل فوري للمنطقة المتأثرة لوقف الانتشار، دون قطع الخدمة عن العملاء غير المتأثرين.
3. الإشعار: في حالة خرق مؤكد يتضمن بيانات شخصية، تُخطر سكاليان العملاء المتأثرين خلال 24 ساعة (أقل بكثير من 72 ساعة التي يطلبها RGPD و30 يومًا التي يطلبها قانون 25). أنت مسؤول بعد ذلك عن الإخطار لهيئة حماية البيانات المختصة إذا لزم الأمر.
4. المعالجة: إصلاح الثغرة وتحليل السجلات لتحديد نطاق الحادث وتسليم تقرير ما بعد الحادث للعميل.
5. التحسين: كل حادث يخضع لمراجعة ما بعد الحادث مع إجراءات تصحيحية موثقة. يُشارك التقرير مع العملاء المتأثرين.

مستوى توفر الخدمة: 99 % (Starter) و99,5 % (Pro) و99,9 % (المؤسسات). تُنشر سجلات الحوادث على لوحة الحالة العامة.

نعم. تمتلك سكاليان حزمة وثائق امتثال معيارية متاحة للعملاء تحت اتفاقية عدم الإفصاح (NDA).

1. استبيان أمني مكتمل: بتنسيق SIG Lite أو CAIQ v4 (Cloud Security Alliance) أو استبيان مخصص لمؤسستك. يشمل الضوابط التقنية والتنظيمية والمادية.
2. معمارية أمان موثقة: مخططات معمارية مع تدفقات البيانات ونقاط التشفير وتجزئة الشبكة والوصول الخارجي.
3. سياسة أمن المعلومات: وثيقة من أكثر من 40 صفحة تغطي إدارة الوصول وتصنيف البيانات وإدارة الحوادث واستمرارية الأعمال.
4. تقرير اختبار الاختراق (pentest): من طرف ثالث معتمد، متاح تحت NDA. التكرار: سنوي وبعد أي تغيير معماري جوهري.
5. تقرير تحليل المخاطر: وفقًا لمعيار ISO 27005.
6. اتفاقية معالجة البيانات (DPA): متوافقة مع RGPD/القانون 25، قابلة للتخصيص وفق متطلباتك.

لعملاء المؤسسات، يمكن لسكاليان المشاركة في عمليات التدقيق الأمني الخاصة بك (استبيانات مخصصة، مقابلات مع فريق الأمان، مراجعة المعمارية). المدة المعيارية للرد على طلبات الوثائق: 5 أيام عمل.